Sieci > Bezpieczeństwo > Praktyczne zastosowanie
Profil działania firmy Polityka bezpieczeństwa Zabezpieczenie firmowej sieci
Wszystkie przedstawione środki i mechanizmy bezpieczeństwa tworzą zbiór rozwiązań z których można w różny sposób korzystać. Wybór ten w dużym stopniu zależy od konkretnego zastosowania. Dobre zabezpieczenie wewnętrznej sieci komputerowej dużej organizacji nie jest zadaniem łatwym. Wymaga to sporej wiedzy na temat bezpieczeństwa i pracy wielu osób. Z tego względu rozdział ten prezentuje praktyczne zastosowanie środków i mechanizmów bezpieczeństwa na prostym, modelowym przykładzie. Celem jest wyłącznie prezentacja wybranych rozwiązań.
Firma Pyszne Słodkości zajmuje się sprzedażą słodyczy. Główna siedziba firmy PS znajduje się w Poznaniu, a sklepy firmowe w pięciu miastach całej Polski. Różnego rodzaju słodycze kupowane są u producentów z całego świata, sprowadzane do Polski, a następnie rozprowadzane do sklepów. Transportem zajmuje się partnerska firma transportowa. Obecnie PS planuje wykorzystać sieć Internet celem dalszego rozwoju. Uruchomiona ma zostać firmowa strona WWW oraz serwer pocztowy. Zamówienia słodyczy u producentów realizowane będą drogą elektroniczną w odpowiedzi na zapotrzebowanie ze strony sklepów. Planowana jest także obsługa handlu elektronicznego. Składane zamówienia realizowane będą za pośrednictwem współpracującej firmy kurierskiej. Z tego powodu konieczne jest zabezpieczenie firmowej sieci i stworzenie odpowiedniej polityki bezpieczeństwa.
Polityka bezpieczeństwa jest podstawą służącą do tworzenia dalszych zabezpieczeń. Dlatego też poniżej wymienione są najważniejsze zasady polityki bezpieczeństwa obowiązującej w firmie PS.
Serwer WWW oraz serwer pocztowy muszą być izolowane od sieci wewnętrznej. W przypadku połączeń z serwerem WWW nie jest wymagane szyfrowanie. Przesyłana poczta elektroniczna również nie jest poufna. Strony WWW i poczta elektroniczna pełnią wyłącznie funkcje informacyjne i reklamowe.
Elektroniczne zamówienia kierowane ze sklepów do głównej siedziby firmy są poufne. Ze względu na to dane te muszą być uwierzytelniane i szyfrowane. Podobnie zabezpieczone muszą być wiadomości przesyłane do partnerów współpracujących z firmą.
Pracownicy nie mogą bez ograniczeń korzystać z zasobów Internetu. Dozwolony jest dostęp tylko do stron WWW. Dodatkowo zabronione jest przeglądanie stron o tematyce rozrywkowej.
Obsługa handlu elektronicznego musi być dobrze zabezpieczona. Dlatego nawiązywane połączenia muszą być szyfrowane, a klienci uwierzytelniani. Dane dotyczące klientów i zamówień są poufne. Z tego względu informacje te muszą być bezpiecznie przechowywane w bazie danych. Zlecone zamówienia realizowane będą we współpracy z firmą kurierską. Opłaty za słodycze uiszczane będą kurierowi.
Ochrona firmowej sieci wewnętrznej przed zagrożeniami ze strony Internetu wymaga zastosowania ściany ogniowej. Główne cele firmy to elektroniczna realizacja zamówień, handel elektroniczny oraz zaprezentowanie się w Internecie. Realizacja tych funkcji wymaga zastosowania różnych zabezpieczeń. Z tego względu najlepszym rozwiązaniem jest utworzenie czterech odrębnych podsieci peryferyjnych podłączonych do wspólnej sieci szkieletowej firmy. Architekturę proponowanego rozwiązania przedstawia rysunek 5.1 i rysunek 5.2.
Rysunek 5.1 Zabezpieczenie sieci firmowej
Rysunek 5.2 Architektura zastosowanych ścian ogniowych
Klienci mogą dokonywać elektronicznych zakupów słodyczy korzystając z przeglądarki internetowej. Obsługiwani będą przez system znajdujący się w osobnej podsieci. Pozwala to skonfigurować i zabezpieczyć go optymalnie pod kątem handlu elektronicznego. Nawiązywane połączenia zabezpieczane będą za pomocą protokołu HTTPS. Pozwala to na zabezpieczenie kanału komunikacyjnego i uwierzytelnienie obu stron transakcji. Samo uwierzytelnianie odbywać się będzie korzystając z usług ośrodka certyfikacji. Złożone zamówienia przechowywane będą w wewnętrznej bazie danych.
Informacja o braku określonych słodyczy musi być natychmiast przesyłana do głównej siedziby. Z tego powodu potrzebny jest tani i bezpieczny kanał komunikacyjny. Najlepszym rozwiązaniem jest wirtualna sieć prywatna. Korzystanie z istniejącego łącza internetowego nie powiększa kosztów, a szyfrowanie i uwierzytelnianie VPN zapewnia bezpieczeństwo. Wirtualne sieci prywatne pomiędzy główną siedzibą a sklepami zbudowane będą z wykorzystaniem urządzeń firmy Cisco, które obsługują protokół IPSec.
Realizacja zamówień i inna komunikacja z kluczowymi partnerami odbywać się będzie za pomocą poczty elektronicznej. Ze względu na to, że są to dane poufne zastosować należy szyfrowanie z kluczem publicznym. Do zabezpieczenia poczty elektronicznej zastosowany będzie OpenPGP.
Na potrzeby prezentacji materiałów reklamowych i informacyjnych uruchomiony zostanie serwer WWW i serwer pocztowy. Potencjalni klienci będą mogli zapoznać się z ofertą firmy korzystając ze standardowego protokołu HTTP. Komunikacja z klientami odbywać się będzie mogła również z wykorzystaniem poczty elektronicznej. W podsieci tej znajdzie się również serwer pośredniczący. Umożliwiał on będzie dostęp pracownikom do internetowych zasobów WWW oraz dodatkowo realizował filtrowanie adresów URL.
Sieć szkieletowa łączy podsieci peryferyjne i wewnętrzne w jedną całość. Do sieci szkieletowej podłączone będą również wewnętrzne serwery. Serwer baz danych przechowywał będzie dane o stanie zapasów słodyczy, zamówienia sklepów i klientów indywidualnych. Serwer intranetowy będzie prezentował informacje przeznaczone dla pracowników firmy. Wewnętrzny serwer pocztowy obsługiwał będzie pocztę elektroniczną wymienianą z serwerami pocztowymi znajdującymi się w hostach bastionowych.